ポケモンゲームに偽装した NetSupport RAT マルウェアが拡散中

NetSupport Manager は遠隔操作ツールであり、一般ユーザーや企業ユーザーが遠隔でシステムを操作する目的でインストールおよび使用される。しかし、外部から特定のシステムを制御できるといった機能が、多くの攻撃者によって悪用されている。

遠隔操作ツール(Remote Administration Tool)のほとんどは、コマンドラインベースのバックドアおよび RAT(Remote Access Trojan)マルウェアとは異なり、ユーザーの利便性が重要であるため、リモートデスクトップ、すなわち GUI 環境を提供していることが特徴である。悪意をもって開発されていなくても、感染先システムにインストールされると、攻撃者によりさらなるマルウェアのインストールや情報窃取のような悪意を持った目的で使われることがある。

バックドア型マルウェアとは異なり、ほとんどの遠隔操作ツールは多くのユーザーが使用しているものであるため、正常なプログラムとして認識しやすくなる。すなわち、攻撃者たちには正常なプログラムである遠隔操作ツールを利用して、セキュリティ製品の検知を回避し、同時に GUI 環境で感染先システムを操作できるというメリットがある。

以下の ASEC ブログでは AnyDesk、TeamViewer、Ammyy Admin、Tmate のような様々な遠隔操作ツールが攻撃に使用された事例を取り扱っている。

ASEC 分析チームは最近、NetSupport RAT マルウェアがポケモンカードゲームに偽装したフィッシングページから配布されていることを確認した。参考に、正常な目的で使用されるのではなく、攻撃者が感染システムを制御するために設定した形態で配布されるため、現在のブログでは「NetSupport RAT」と表記している。NerSupport RAT は攻撃者により以前から使用され続けているマルウェアであり、最近までもスパムメールや正常なプログラムに偽装したフィッシングページを通して配布されている。

以下はポケモンカードゲームに偽装したフィッシングページであり、これを見ると「Play on PC」ボタンを確認できる。ユーザーがゲームをインストールするためにこのボタンをクリックすると、ポケモンカードゲームの代わりに NetSupport RAT マルウェアがダウンロードされる。

[図1] ポケモンカードゲームの偽装ページ

ダウンロードされたファイルはアイコンだけでなく、バージョン情報も偽装されているため、ユーザーはゲームプログラムであると認知して実行してしまう可能性がある。

[図2] ポケモンカードゲームに偽装したマルウェア

マルウェアは InnoSetup で開発されたインストーラーマルウェアで、実行されると %APPDATA% パスにフォルダーを生成し、NetSupport RAT 関連のファイルを隠し属性として生成および実行する。またスタートアッププログラムフォルダーにショートカットフォルダーを生成するため、再起動時にも動作するようになっている。以下のプロセスツリーで最終的に実行される client32.exe が NetSupport Manager のクライアントである。

[図3] NetSupport RAT のプロセスツリー

インストールされた NetSupport 関連のプログラム自体は正常であると言えるが、以下のように「client32.ini」設定ファイルに攻撃者の C&C サーバーアドレスが設定されていることを確認できる。NetSupport が実行されると、この設定ファイルを読み込んで、攻撃者の NetSupport サーバーにアクセスして接続し、その後攻撃者が感染させたシステムを制御できるようにする。

[図4] インストールされた NetSupport ファイルと設定ファイル
[図5] NetSupport RAT의 のパケットデータ

当社 ASD (AhnLab Smart Defense) インフラと VirusTotal を利用して関連ファイルを調査中、上記のフィッシングページ以外にも同じ形態でポケモンカードゲームに偽装したフィッシングページを確認した。それぞれのフィッシングページからは2022年12月頃から多数の NetSupport RAT Dropper マルウェアが配布されている。ファイルはすべて異なるが、「client32.ini」ファイルに設定された C&C サーバーはすべて同じである。

VirusTotal にアップロードされたサンプルの中には Visual Studio に偽装したアイコンのマルウェアも確認された。これらは、Visual Studio に偽装していることから NetSupport RAT インストールパスも %APPDATA%\Developer\ にインストールされる。このように見ると、攻撃者がポケモンカードゲーム以外にも他の正常なプログラムに偽装してマルウェアを配布していると思われる。

[図6] Visual Studio に偽装した NetSupport RAT Dropper

これ以外にもインストールパスに NetSupport クライアントである「client32.exe」の代わりに Windows の正常なプログラムである svchost.exe に偽装した「csvs.exe」というファイルを生成するタイプも存在する。アイコンとサイズは異なるが、内部的なルーティンや PDB 情報などを確認すると、攻撃者が検知を回避するために「client32.exe」ファイルを直接修正したものと見られる。

[図7] 攻撃者が修正したと推定される client32.exe

NetSupport RAT は様々な攻撃者によって使用されている。代表的な配布事例を見ると、最近までにも送り状(Invoice)、船積書類(Shipment Document)購入注文書(P.O.– Purchase Order)などに偽装したスパムメールによって配布されている。[1]これ以外にも今年の下半期には SocGholish というソフトウェアのアップデートに偽装したフィッシングページを通して、ユーザーにインストールさせるように誘導していた事例も存在する。[2]

NetSupport RAT がインストールされると、攻撃者は感染システムの制御権を獲得できる。NetSupport がサポートしている機能を見ると、遠隔画面操作機能以外にもスクリーンキャプチャ、クリップボードの共有、Web 履歴情報の収集、ファイル管理、コマンド実行のようなシステムに対する制御権も提供している。これは攻撃者がユーザー情報を窃取、および追加マルウェアのインストールのような様々な不正な振る舞いが実行される可能性を意味する。

[図8] NetSupport がサポートしている機能

最近の攻撃者たちは NetSupport のような、様々なユーザーが使用している遠隔操作ツールを攻撃に悪用している。このような遠隔操作マルウェアに感染すると、攻撃者によってシステムが掌握され、情報窃取および追加マルウェアのインストールのような被害を受けることがある。

外部からプログラムをインストールする際は公式 HP から購入後にダウンロードすることをユーザーに推奨しており、疑わしいメールを受け取ったら添付ファイルの実行は避けなければならない。また、OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。

ファイル検知
– Dropper/Win.NetSupport.C5345365 (2022.12.30.01)
– Malware/Win.Generic.C5339867 (2022.12.23.03)
– Malware/Win.Generic.C5335414 (2022.12.17.01)
– Malware/Win.Generic.C5333592 (2022.12.15.01)
– Malware/Win.Malware-gen.C5331507 (2022.12.13.02)
– Trojan/Win.NetSupport.C5345361 (2022.12.30.01)
– Backdoor/Text.NetSupport (2022.12.30.02)

IOC
MD5

– 097051905db43d636c3f71f3b2037e02 : NetSupport RAT 드로퍼 (PokemonBetaGame.exe)
– 1dc87bfb3613d605c9914d11a67e2c94 : ポケモンカードゲームに偽装 NetSupport RAT Dropper
– 5e6b966167c7fd13433929e774f038ee : ポケモンカードゲームに偽装 NetSupport RAT Dropper
– a9dba73b0cf1c26008fc9203684c6c22 : ポケモンカードゲームに偽装 NetSupport RAT Dropper
– adbe1069f82a076c48f79386812c1409 : ポケモンカードゲームに偽装 NetSupport RAT Dropper
– fcdc884dd581701367b284ad302efe4d : ポケモンカードゲームに偽装 NetSupport RAT Dropper
– ed68e69534ebdf6c8aa1398da032c147 : Visual Studio に偽装 NetSupport RAT Dropper (source.sdf)
– e7792e09b0283b87b9de37b3420f69d5 : ポケモンカードゲームに偽装 NetSupport RAT Dropper (csvs.exe 생성)
– 7ca97fe166c4d8a23d7d9505d9fcc1c0 : パッチ済 client32.exe (csvs.exe)
– 59048c3248025a7d4c7c643d9cf317a5 : NetSupport 設定ファイル(config32.ini)
– f26b26f6d29a4e584bd85f216b8254b9 : NetSupport 設定ファイル(config32.ini)

C&C
– tradinghuy.duckdns[.]org:1488

フィッシングページ
 hxxps://pokemon-go[.]io/
– hxxps://beta-pokemoncards[.]io/

ダウンロード
– hxxps://pokemon-go[.]io/PokemonBetaGame.exe
– hxxps://beta-pokemoncards[.]io/PokemonCardGame.exe
– hxxps://beta-pokemoncards[.]io/PokemonBetaCard.exe
– hxxps://beta-pokemoncards[.]io/PokenoGameCard.exe

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest

0 コメント
Inline Feedbacks
View all comments